drf组件之jwt认证模块

一、认证规则

全称:json web token

解释:加密字符串的原始数据是json,后台产生,通过web传输给前台存储

格式:三段式 - 头.载荷.签名 - 头和载荷用的是base64可逆加密,签名用md5不可逆加密

内容:

头(基础信息,也可以为空):加密方式、公司信息、项目组信息、...

载荷(核心信息):用户信息、过期时间、...

签名(安全保障):头加密结果+载荷加密结果+服务器秘钥 的md5加密结果

认证规则:

后台一定要保障 服务器秘钥 的安全性(它是jwt的唯一安全保障)

后台签发token(login接口 ) -> 前台存储 -> 发送需要认证的请求带着token -> 后台校验得到合法的用户 -> 权限管理

为什么要有jwt认证:

1)服务器压力小, 后台不需要存储token,只需要存储签发与校验token的算法,效率远远大于后台存储和取出token完成校验

2) jwt算法认证,更适合服务器集群部署

二、认证模块

安装:pip install djangorestframework-jwt

模块包:rest_framework_jwt

采用drf-jwt框架,后期任务只需要书写登录

为什么要重写登录:drf-jwt只完成了账号密码登录,我们还需要手机登录,邮箱登录

为什么不需要重写认证类:因为认证规则已经完成且固定不变,变得只有认证字符串的前缀,前缀可以在配置文件中配置

三、JWT使用

jwt配置;

在settings.py文件中配置,如果不配置,默认走jwt默认的

jwt插件的三个接口:

在urls.py中配置

在postman中测试一下签发token

注意:上面三个接口都是发送POST请求

四、利用JWT实现多方式登录

注:APIResponse 为自定义Response对象

# views.py

from rest_framework.views import APIView

from . import models,serializers

from utils.response import APIResponse

class LoginAPIView(APIView):

    # 登录接口应该禁用所有的认证和、权限,因为不管是谁都应该能进来

    authentication_classes = []

    permission_classes = []

    def post(self, request, *args, **kwargs):

        # 将数据传到序列化组件进行校验

        user_ser = serializers.LoginSerializer(data=request.data)

        user_ser.is_valid(raise_exception=True)

        return APIResponse(msg='login success', data={

            'username': user_ser.user.username,

            'token': user_ser.token

        })

注意:

通过user对象生成payload载荷

payload = jwt_payload_handler(user)

通过payload签发token

token = jwt_encode_handler(payload)

# serializer.py

from rest_framework.serializers import ModelSerializer, CharField, ValidationError, SerializerMethodField

from . import models

from django.contrib.auth import authenticate

import re

from rest_framework_jwt.serializers import jwt_payload_handler, jwt_encode_handler

class LoginSerializer(ModelSerializer):

    username = CharField(write_only=True)

    password = CharField(write_only=True)

    class Meta:

        model = models.User

        fields = ('username', 'password')

    def validate(self, attrs):

        # user_obj = authenticate(**attrs)

        # if not user_obj:

        #     raise ValidationError('用户名或密码错误')

        # 账号密码登录 ==》 多方式登录

        user = self._many_method_login(**attrs)

        # 通过user对象生成payload载荷

        payload = jwt_payload_handler(user)

        # 通过payload签发token

        token = jwt_encode_handler(payload)

        # 将user和token存放在序列化对象中,方便返回到前端去

        self.user = user

        self.token = token

        return attrs

    # 多方式登录 (用户名、邮箱、手机号三种方式登录)

    def _many_method_login(self, **attrs):

        username = attrs.get('username')

        password = attrs.get('password')

        # 利用正则匹配判断用户输入的信息

        # 1.判断邮箱登录

        if re.match(r'.*@.*', username):

            user = models.User.objects.filter(email=username).first()  # type: models.User

        # 2.判断手机号登录

        elif re.match(r'^1[3-9][0-9]{9}$',username):

            user = models.User.objects.filter(mobile=username).first()

        # 3.用户名登录

        else:

            user = models.User.objects.filter(username=username).first()

        if not user:

            raise ValidationError({'username': '账号有误'})

        if not user.check_password(password):

            raise ValidationError({'password': '密码错误'})

        return user

使用postman测试代码:

五、前后台分离模式下信息交互规则

"""

1)任何人都能直接访问的接口

	请求不是是get、还是post等,不需要做任何校验

2)必须登录后才能访问的接口

	任何请求方式都可能做该方式的限制,请求必须在请求头中携带认证信息 - authorization

3)前台的认证信息获取只能通过登录接口

	前台提供账号密码等信息,去后台换认证信息token

4)前台如何完成登录注销

	前台登录成功一般在cookie中保存认证信息token,分离注销就是前台主动清除保存的token信息

"""

drf组件之jwt认证的更多相关文章

  1. DRF框架(七) ——三大认证组件之频率组件、jwt认证

    drf频率组件源码 1.APIView的dispatch方法的  self.initial(request,*args,**kwargs)  点进去 2.self.check_throttles(re ...

  2. drf认证组件、权限组件、jwt认证、签发、jwt框架使用

    目录 一.注册接口 urls.py views.py serializers.py 二.登录接口 三.用户中心接口(权限校验) urls.py views.py serializers.py 四.图书 ...

  3. drf框架中jwt认证,以及自定义jwt认证

    0909自我总结 drf框架中jwt 一.模块的安装 官方:http://getblimp.github.io/django-rest-framework-jwt/ 他是个第三方的开源项目 安装:pi ...

  4. DRF项目之JWT认证方式的简介及使用

    什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点 ...

  5. drf认证组件(介绍)、权限组件(介绍)、jwt认证、签发、jwt框架使用

    目录 一.注册接口 urls.py views.py serializers.py 二.登录接口 三.用户中心接口(权限校验) urls.py views.py serializers.py 四.图书 ...

  6. DRF之JWT认证

    一.JWT认证 JWT构成 JWT分为三段式:头.体.签名(head.payload.sgin) 头和体是可逆加密的,让服务器可以反解析出user对象,签名是不可逆加密,保证整个token的安全性的. ...

  7. drf的JWT认证

    JWT认证(5星) token发展史 在用户注册或登录后,我们想记录用户的登录状态,或者为用户创建身份认证的凭证.我们不再使用Session认证机制,而使用Json Web Token(本质就是tok ...

  8. jwt 认证

    目录 jwt 认证示意图 jwt 认证算法:签发与检验 drf 项目的 jwt 认证开发流程(重点) drf-jwt 框架基本使用 token 刷新机制(了解) jwt 认证示意图 jwt 优势 1 ...

  9. DRF 组件

    DRF组件中的认证  授权  频率限制   分页  注册器  url控件

随机推荐

  1. .NET如何将字符串分隔为字符

    .NET如何将字符串分隔为字符 如果这是一道面试题,答案也许非常简单:.ToCharArray(),这基本正确-- 我们以"AB吉

  2. 函数进阶(二) day13

    目录 昨日内容 闭包函数 装饰器 二层装饰器 装饰器模板 三层装饰器 今日内容 迭代器 可迭代对象 迭代器对象 for循环原理(迭代循环) 三元表达式 列表推导式 字典生成式 生成器 yield关键字 ...

  3. day2------运算符和编码

    运算符和编码 一. 格式化输出 现在有以下需求,让用户输入name, age, job,Gender 然后输出如下所示: ------------ info of Yong Jie --------- ...

  4. python小例子(二)

    1.在函数里面修改全局变量的值 2.合并两个字典.删除字典中的值 3.python2和python3 range(1000)的区别 python2返回列表,python3返回迭代器 4.什么样的语言可 ...

  5. snaic和tornado的简单性能测试

    操作系统 : CentOS7.3.1611_x64 Python 版本 : 3.6.8 tornado版本:6.0.2 snaic版本:19.9.0 CPU : Intel(R) Core(TM) i ...

  6. Linux的目录介绍

    Linux的目录介绍 Linux系统以目录来组织和管理系统中的所有文件.Linux系统通过目录将系统中所有的文件分级.分层组织在一起,形成了Linux文件系统的树型层次结构.以根目录 “/” 为起点, ...

  7. 使用 Github + Hexo 从 0 搭建一个博客

    最近有几位同学在公众号后台留言问我的博客站是怎么建站的,思来想去,还是写一篇从 0 开始吧. 前置准备 我们先聊一下前置准备,可能很多同学一听说要自己搭一个博客系统,直接就望而却步.不得有台服务器么, ...

  8. hack the box -- sizzle 渗透过程总结,之前对涉及到域内证书啥的还不怎么了解

     把之前的笔记搬运过来 ---   1 开了443,用smbclient建立空连接查看共享 smbclient -N -L \\\\1.1.1.1 Department Shares Operatio ...

  9. [考试反思]1108csp-s模拟测试105: 傀儡

    评测机是真的老了... 我的脑力也老了... 昨天写完T3之后感觉脑子就留在那了,直到现在还感觉自己神志不清... T1OJ上过了(跑得挺慢但是的确过了),但是文件评测同样是开O2居然只剩下70分.. ...

  10. javascript 作用域链及性能优化

    在JavaScript中,函数也是对象,实际上,JavaScript里一切都是对象.函数对象和其它对象一样,拥有可以通过代码访问的属性和一系列仅供JavaScript引擎访问的内部属性.其中一个内部属 ...